Le site Web n'est pas sécurisé

17

J'accède à Pandora via SSL et remarque quelques icônes par l'URL. Le premier est le point d'exclamation dans un triangle, indiquant que la page n'est pas entièrement sécurisée:

Pas sécurisé

À côté se trouve un bouclier? Celui-ci indique que le contenu non sécurisé est bloqué.

Est sécurisé

Ces déclarations, du moins pour moi, semblent être opposées. Quelqu'un peut m'expliquer cela? Ma connexion est-elle sécurisée ou non?

Accessible via Firefox 30.0 sur Windows 7. J'ai également installé HTTPS Everywhere .

firefox ssl David Starkey
la source

Réponses:

16

C'est ce qu'on appelle une page de "contenu mixte".

Si la page HTTPS inclut du contenu récupéré via un HTTP normal et en texte clair, la connexion n'est que partiellement cryptée: le contenu non crypté est accessible aux renifleurs et peut être modifié par des attaquants man-in-the-middle, et donc la connexion n'est plus protégée. .

https://developer.mozilla.org/en-US/docs/Security/MixedContent

Les déclarations ne sont pas contradictoires, mais complémentaires; et peut-être un peu déroutant. Le premier dit que la page elle-même n'est pas entièrement sécurisée car elle contient des éléments non cryptés (tous les navigateurs Web vous en informeront), tandis que le second note que ces éléments ont été automatiquement bloqués par Firefox.

Si Firefox ne bloquait pas les éléments non chiffrés, la page à proprement parler ne serait pas sécurisée.

(HTTPS Everywhere ne garantit pas une connexion sécurisée. Il essaiera de forcer HTTPS uniquement lorsqu'il sera disponible; sinon, il n'y a rien qu'un utilisateur / navigateur puisse faire à ce sujet mais bloquer le contenu non sécurisé.)

redburn
la source
La connexion est donc sécurisée?
David Starkey
5
La connexion principale de @DavidStarkey au site Web est sécurisée. Les connexions non sécurisées aux ressources externes sont bloquées. Vous pouvez utiliser le site Web en toute sécurité.
gronostaj
Une note que j'ajouterais ici est l'une des raisons pour lesquelles cela est mauvais et est signalée. Supposons que vous disposiez d'une connexion à pandora.com et qu'un cookie de session envoyé à .pandora.com englobe votre session de connexion. Si cela est également envoyé pendant les sessions HTTP, votre session est maintenant en clair. Vous avez été repris. Oui, le serveur peut dire "n'envoyer ce cookie que pour HTTPS", mais vous devez être un geek et suivre les réponses de votre serveur pour comprendre cela. Donc, pour les non-geeks, cela ne fera que signaler cela, sans pour autant dire qu'ils font du bon travail en disant pourquoi c'est mauvais.
Rich Homolka
@RichHomolka Serait-ce un problème de charger des images depuis pandorastatic.com (ou static.pandora.com sans cookies pertinents)?
user253751
@ user20574 dépend. En général, probablement pas. Les cookies seraient verrouillés sur le domaine. Mais il existe d'autres façons de divulguer des informations entre les domaines (ou bien doubleclick / google ne vaudrait pas autant). Encore une fois, cela dépend de la façon dont ils ont codé la page.
Rich Homolka
0

Une page Web typique sera chargée dans de nombreux flux différents. Certains flux, tels que des images, peuvent être chargés à l'aide de HTTPS, mais certains peuvent être chargés par HTTP.

Le texte dit simplement que ceux chargés avec HTTP seront bloqués. Si vous regardez la source de la page, vous verrez probablement qu'une partie du contenu est référencée comme HTTP.

snowdude
la source
0

Lorsque vous visitez un site Web via HTTP, votre connexion est vulnérable aux écoutes et aux attaques de l'homme du milieu (MiTM). Sites qui ne transmettent pas les informations sensibles d'avant en arrière (informations identifiables, numéros de sécurité sociale, carte de crédit, etc.). Lorsque vous visitez une page entièrement servie via HTTPS (comme PayPal et les institutions financières), votre connexion est authentifiée et cryptée. Cependant, lorsqu'un site Web héberge du contenu HTTP ainsi que du contenu servi via HTTPS, il est communément appelé page / site à contenu mixte. La plupart des navigateurs, comme Firefox, bloquent automatiquement le contenu non sécurisé. La plupart des pages s'afficheront toujours correctement et vous pourrez toujours parcourir la partie sécurisée du site.

Êtes-vous donc en sécurité ou pas en sécurité? Comme nous ne sommes jamais totalement sécurisés lors de la navigation sur Internet; Je pense qu'il est prudent de dire que votre session est "sécurisée" ou aussi sécurisée qu'elle va l'être du côté de l'utilisateur.

J'espère avoir répondu à votre question.

injecteur
la source